当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 手把手教您配置IPSec安全策略

安全基础
揭开DDoS攻防的神秘面纱
用端口截听实现隐藏嗅探与攻击
教你穿透ADSL路由入侵内网
防范非法用户侵入系统七绝招
警惕黑客4种手段攻击无线局域网
Foxmail账户入侵原理及防范方法
怀疑PC安装木马?学学网络安全小命令
解除安全隐患—让“命令提示符”不再危险
菜鸟必读之邮箱及IE安全技巧全精通
冲浪安全更安全 禁用Cookie功能的几种方法
网上保障隐私十大秘技
顺藤摸瓜 利用IIS日志追查网站入侵者
如何有效防范自己的IP地址泄漏
用Windows自带工具打造“免检”木马
隐藏IP就这么简单
新人快速上手指南 电脑木马查杀大全
触目惊心!小心index.dat泄露你上网痕迹
当心软件泄密 彻底清理应用软件的运行痕迹
网管宝典 终端入侵防护系统七大纪律
巧妙解救被“绑架”的浏览器

安全基础 中的 手把手教您配置IPSec安全策略


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 85 ::
收藏到网摘: n/a

网络的安全性已经成为大家关注的焦点。由于在IP协议设计之初并没过多考虑安全问题,因此早期的网络中经常发生遭受攻击或机密数据被窃取等问题。为了增强网络的安全性,IP安全(IPSec)协议应运而生。Windows 2000/XP/2003操作系统也提供了对IPSec协议的支持,这就是我们平常所说的“IPSec安全策略”功能,虽然它提供的功能不是很完善,但只要你合理定制,一样能很有效地增强网络安全。

    如何启用本地IPSec安全策略

    笔者以Windows2003系统为例,启用IPSec安全策略功能非常简单,介绍如下两种方法:

    方法一:利用MMC控制台

    第一步:点击“开始→运行”,在运行对话框中输入“MMC”,点击“确定”按钮后,启动“控制台”窗口。

    第二步:点击“控制台”菜单中的“文件→添加/删除管理单元”选项,弹出“添加/删除管理单元”对话框(如图1),点击“独立”标签页的“添加”按钮,弹出“添加独立管理单元”对话框。

    第三步:在列表框中选择“IP安全策略管理”(如图2),点击“添加”按钮,在“选择计算机”对话框中,选择“本地计算机”,最后点击“完成”。这样就在“MMC控制台”启用了IPSec安全策略。     方法二:利用本地安全策略

    进入“控制面板→管理工具”选项,运行“本地安全设置”选项,在“本地安全设置”窗口中展开“安全设置”选项,就可以找到“IP安全策略,在本地计算机”。

    IPSec安全策略的组成

    为了增强网络通信安全或对客户机器的管理,网络管理员可以通过在Windows系统中定义IPSec安全策略来实现。一个IPSec安全策略由IP筛选器和筛选器操作两部分构成,其中IP筛选器决定哪些报文应当引起IPSec安全策略的关注,筛选器操作是指“允许”还是“拒绝”报文的通过。要新建一个IPSec安全策略,一般需要新建IP筛选器和筛选器操作。

    IPSec安全策略应用实例

    目的:阻止局域网中IP为“192.168.0.2”的机器访问Windows2003终端服务器。

    很多服务器都开通了终端服务,除了使用用户权限控制访问外,还可以创建IPSec安全策略进行限制。

    第一步:在Windows 2003服务器的IP安全策略主窗口中,右键点击“IP安全策略,在本地计算机”,选择“创建IP安全策略”选项,进入“IP安全策略向导”,点击“下一步”,在“IP安全策略”名称对话框中输入该策略的名字(如图3),如“终端服务过滤”,点击“下一步”,下面弹出的对话框都选择默认值,最后点击“完成”按钮。

    第二步:为该策略创建一个筛选器。右键点击“IP安全策略,在本地计算机”,在菜单中选择“管理IP筛选器表和筛选器操作”,切换到“管理IP筛选器列表”标签页(如图4),点击下方的“添加”,弹出的“IP筛选器列表”对话框,在“名称”输入框中输入“终端服务”,点击“添加”,进入“IP筛选器向导”窗口,点击“下一步”,在“源地址”下拉列表框中选择“一个特定IP地址”,然后输入该客户机的IP地址和子网掩码,如“192.168.0.2”。点击“下一步”后,在“目标地址”下拉列表框中选择“我的IP地址”,点击“下一步”,接着在“选择协议类型”中选择“TCP”协议(如图5),点击“下一步”,接着在协议端口中选择“从任意端口,到此端口”,在输入框中填入“3389”,点击“下一步”后完成筛选器的创建(如图6)。

    第三步:新建一个阻止操作。切换到“筛选器操作”标签页,点击“添加”按钮,进入到“IP安全筛选器操作向导”,点击“下一步”,给这个操作起一个名字,如“阻止”,点击“下一步”,接着设置“筛选器操作的行为”,选择“阻止”单选项(如图7),点击“下一步”,就完成了“IP安全筛选器操作”的添加工作。

    最后在IP安全策略主窗口中,双击第一步建立的“终端服务过滤”安全策略,点击“添加”按钮,进入“创建IP安全规则向导”,点击“下一步”,选择“此规则不指定隧道”,点击“下一步”,在网络类型对话框中选择“局域网”,点击“下一步”,在接下来对话框中选择默认值,点击“下一步”,在IP筛选器列表中选择“终端服务”选项,点击“下一步”,接着在筛选器操作列表中选择“阻止”,最后点击“完成”。

    完成了创建IPSec安全策略后,还要进行指派,右键单击“终端服务过滤”,在弹出的菜单中选择“指派”,这样就启用了该IPSec安全策略。局域网中IP为“192.168.0.2”的机器就不能访问Windows 2003终端服务器了。